CAMINO A SEGUIR PARA ALCANZAR UNA CERTIFICACIÓN INTERNACIONAL BAJO LA NORMA ISO/IEC 27001:2005. Karina Del Pilar Pabón Molineros,

Tamaño: px
Comenzar la demostración a partir de la página:

Download "CAMINO A SEGUIR PARA ALCANZAR UNA CERTIFICACIÓN INTERNACIONAL BAJO LA NORMA ISO/IEC 27001:2005. Karina Del Pilar Pabón Molineros,"

Transcripción

1 CAMINO A SEGUIR PARA ALCANZAR UNA CERTIFICACIÓN INTERNACIONAL BAJO LA NORMA ISO/IEC 27001:2005 Karina Del Pilar Pabón Molineros, Unidad de Gestión de Postgrados; Escuela Politécnica del Ejército, Sangolquí, Ecuador RESUMEN:La decisión de una organización de brindar el adecuado tratamiento a los riesgos asociados a la seguridad de su información mediante la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) para obtener una certificación internacional; es una decisión estratégica, sustentada en el analisis de la naturaleza de la organización, el ámbito donde se desarrolla y produce, las necesidades de la empresa, sus clientes y proveedores, su situación en el mercado y el posicionamiento en el pais donde se encuentra. El trabajo a realizarse no solo debe centrarse en aplicar normas o seguir metodologías de implementación y revisión a dicho sistema de seguridad de la información, sino que debe enfocarse a como concientizar a toda la organización para que acepte este nuevo reto y se comprometa enteramente en el rol que le toca asumir. Lastimosamente este es el trabajo mas arduo por que los resultados dependen de como el recurso humano acepta las nuevas tendencias, los cambios bruscos en cuanto a gestion operativa, en como apoya y ofrece opciones para mejorar el proceso que esta cambiando y como comprende a la organización en la transicion estratégica que esta adoptando. Con este antecedente, revisaremos la situacion de una empresa estatal cuya necesidad es alcanzar una certificacion internacional bajo la norma 27001:2005, pero que despues de la estabilización de su sistema de gestión de seguridad de la información y su posterior revisión, no podía cerrar observaciones importantes que impedirían cumplir con su objetivo; el trabajo realizado muestra como el cambio de táctica para sensibilización en una empresa tan compleja surtió efecto reduciendo en un porcentaje considerable sus debilidades y asi alcanzar a la certificación internacional. PALABRAS CLAVES:Certificación, auditoría, estructura organizacional, concienciación. ABSTRACT: The decision of an organization to give the suitable treatment to the risks associated with the Information Security by means of the implementation of a Information Security Management System. (ISMS) to obtain an international certification; is a strategic decision sustained in the analysis of organization's nature, the area where it's develops and produces, company s need, his clients and suppliers, his situation on the market and the positioning in de country. The work has to realize not only on applying procedure or to follow methodologies of implementation and review to Information Security Management System. In fact, must focus to the organization in order that accepts this new challenge and assume compromises in the role that has to practise. Pitifully, this one is the work mas arduous because the results depend, of how the human resource accepts the new trends, the sudden changes in the operative management, in how supports and offers options to improve the process that is changing and as understands the organization the strategic transition that is adopting. With this precedent, we will check the situation of a state company which need is to reach an international certification under the norm 27001:2005, but that after the stabilization of his Information Security Management System and his later review, could not close important observations that

2 would prevent to reach with his aim;the realized work shows as the change of tactics for increasing awareness in such a complex company, it supplied effect reducing in a considerable percentage his weaknesses and this way to reach to the international certification. KEYWORDS:Certification, Audit, Organizational structure, increasing awareness. 1. INTRODUCCIÓN No hay nada más difícil de emprender, ni más dudoso de hacer triunfar, ni más peligroso de manejar que el introducir nuevas leyes. El innovador se transforma en enemigo de los que se beneficiaban con las leyes antiguas y no se granjea sino la amistad tibia de los que se beneficiarán con las nuevas. (Nicolás Maquiavelo, 1513). Después de haber investigado arduamente sobre temas de manejo de personal, ejecución de ideas e innovación empresarial, he leído muchas veces la frase citada anteriormente y cada vez me convenzo que a pesar de haber sido escrita por los años 1500 es una conclusión verdadera y aplicable aun en el siglo XXI. En verdad, es muy fácil hacer que los seguidores desistan de las ideas de quienes los guían, muy complicado mantener y tener vigente las nuevas leyes, ya que implican sacrificio, trabajo constante e incansable.inicio con esta meditación porque hay que reconocer que en cada realización y ejecución de proyectos siempre nos tropezaremos con serias dificultades que solo con gran valor pueden ser superadas y los cuales una vez en ejecución, la dificultad se centra en la mantención y marcha. En base a la experiencia obtenida al desarrollar trabajos similares he palpado que es realmente sencillo aplicar para cualquier situación: Lo que solicita y exige una norma para la evaluacion de requisitos y controles implementados en un sistema de gestión de seguridad de la información, Seguir pasos establecidos y estandarizados en cuanto a validaciones sobre sistemas de gestión de seguridad de la información, Sin embargo, lo ciertamente complicado es evaluar un SGSI con la transición que implica la gestión operativa rutinaria con los cambios que se presentan por la gestion estratégica que una empresa esta implementando. Esta transición permite visualizar factores que dificultan el curso de los proyectos desde diferentes niveles jerarquicos: Desmotivación y desconocimiento sobre el proyecto. Falta de compromiso tanto de la alta gerencia y los niveles siguientes. Resistencia al cambio. Falta de concienciación y esperanza de adquirir conocimiento sobre el tema. Si bien estos factores son los que cualquier empresa puede experimentar al ejecutar un cambio, adaptacion y adopcion de nuevos procesos; en el presente artículo revisaremos la situación de una empresa A, de acuerdo a su naturaleza y a la manera en como fue concebida en el transcurrir del tiempo y su actual situacion. A. Antecedentes La empresa A es una entidad que ha sufrido cambios importantes en corto tiempo: una fusión de empresas, cambio de denominación y razon social ademas de haber sido absorbida por el estado donde se desarrolla. El negocio de la empresa son las telecomunicaciones; donde, el servicio que

3 genera la mayor parte de ingresos economicos se centra en la venta e instalacion de servicios de internet y datos, ademas de haber diversificado su servicios en cuanto a telefonía movil se refiere y televisión satelital. La empresa A, necesita obtener una certificación internacional para satisfacer los nuevos requerimientos del mercado, los clientes corporativos exigen con mayor frecuencia a los proveedores oferentes de servicios de internet y datos en las licitaciones, la certificación en la norma ISO/IEC 27001:2005. La empresa A con apoyo de consultoría externa implementó un SGSI de acuerdo a las condiciones del negocio y necesidades de sus clientes. Esta implementacion se enfocó en el proceso de venta anteriormente mencionado con el objetivo de elevar los atributos del negocio basados en la información estratégica de la empresa apalancados en su misión, visión, estrategia de innovación y transformación empresarial. Ahora de acuerdo con la norma para alcanzar la certificación internacional la empresa A debe realizar a intervalos planificados Auditorías Internas a su SGSI para determinar si cumple con los requisitos de la norma ISO/IEC 27001:2005, la legislación y las regulaciones relevantes. Inicialmente se supuso que la empresa A cumplía parcialmente con los requisitos de la Norma ISO/IEC 27001:2005.Para comprobarlo, se elaboró el plan de trabajo de auditoria interna de acuerdo con lo especificado en la cláusula seis de la norma ISO/IEC 27001:2005, se ejecutó la auditoría interna del SGSI (en dos fases por la cantidad de controles a ser revisados),y se analizaron los resultados. Los hallazgos encontrados en las auditorias internas realizadas a la empresa A, evidenciaron que el mayor porcentaje de no conformidades indican que no cumple con los requisitos sobre capacitación, sensibilización, competencia y compromiso de la dirección, motivo para que se registre una recomendación de no certificación internacional por afectar directamente a los requisitos obligatorios de la norma. Ocho meses antes la consultora externa habia realizado una pre auditoría y habia identificado los mismos hallazgos y elaborado un plan de acción para el cierre de estos a los cuales se habia dado tratamiento por parte de los responsables del proyecto en la empresa A. Ahora el cuestionamiento es: Por qué a pesar de haber sido cerradas las observaciones encontradas con la consultora externa se siguen presentando los hallazgos más importantes al cumplir con el requisito seis de la norma?;y mas aún después de un tratamiento de ocho meses para el cierre de las mismas. B. Situación actual La empresa A en un tiempo de dos años realizó cambios en su estructura organizacional, actualmente la empresa A es el resultado de una fusión con dos empresa de naturaleza distinta, la primera de ellas tradicional con varios años en el mercado, con servicios identicos a la empresa A y en si una estructura similar, organicamente sin mucha dificultad de adaptación, salvo por el personal que por su ubicación geográfica diversaban en su manera de proceder, actuar y por ende de trabajar. La segunda empresa, dinámica y activa por la naturaleza de sus servicios; benefició a la empresa A en la ampliación de su portafolio de servicios, incrementando su posicionamiento en el mercado. La variabilidad entre esta organización y la empresa A, radica igualmente en el personal el cual por pertenecer a una empresa joven e innovadora con pocos años en el mercado diferia en conocimiento y años con los colaboradores de la empresa A. Como observamos en muy poco tiempo la empresa A sufrió cambios importantes con poco tiempo de adaptación para sus colaboradores. La unión de dos o mas sociedades preexistentes, en la que una puede subordinar a la otra o pueden obtener el mismo grado de participación bajo una nueva sociedad, implicó el desarrollo e implementación de proyectos en plazos muy cortos para la adaptabilidad del personal con la nueva situación.

4 Este proceso de transformación, transicion e integración que facilita oportunidades y avances para el crecimiento y fortalecimiento de una empresa, tambien trae un alto riesgo de amenazas para la misma; es así como respuestas asociadas a estas situaciones generan: caos, desorganizacion, cambios radicales y miedos. La unión de dos o mas culturas organizacionales podrían ser en ciertos casos contraproducentes sino son tratadas de la forma adecuada; el clima organizacional podria verse afectado si la sensibilización de la situación no fue difundida a tiempo, e incluso podría resarcirse hasta varios años despues, mientras no se logre el compromiso del personal que aun no acoge este cambio, y sigue sintiendo en peligro su estabilidad, su modo de trabajar rutinario con su horario inflexible, sin aportar un esfuerzo adicional en pro a la mejora de la situacion actual. 2. METODOLOGÍA Para iniciar con el presente estudio, cabe indicar que se ha utilizado una metodología propia de la empresa A y demás herramientas como es el ensayo de prueba y error que permitieron obtener los resultados esperados y así cubrir las necesidades de la empresa A. Los resultados a ser revisados en esta parte, son de acuerdo a una evaluación real realizada de la cual parte este artículo. En las dos fases de la auditoría interna realizada al SGSI de la empresa A, la mayor parte de no conformidades detectadas se centran en el tema de capacitación, sensibilización, competencia y compromiso de la dirección. Revisemos los resultados obtenidos de la primera auditoría (en adelante AI) realizada en inicios del año 2013, mes de febrero: De los hallazgos encontrados en AI1, el mayor porcentaje atenta contra el requisito Capacitación, sensibilización y competencia, seguido en un menor pero importante porcentaje con el requisito 5.1 Compromiso de la Dirección, el restante es la sumatoria de requisitos y controles los cuales abarcan no conformidades menores y oportunidades de mejora que no afectan mayoritariamente a la recomendación de certificación por lo cual no seran objeto de nuestro estudio. Las barras amarillas y rojas nos indican el porcentaje de incidencia con respecto a los puntos mencionados, la problemática se centran en que este porcentaje no ha disminuido con respecto a las no conformidades detectadas por la consultora externa. GRÁFICO 1. No conformidades AI1 43,48 % AUDITORIA AI 1- No conformidades 34,78% 21,74 % Capacitación y Sensibilización Compromiso de la Dirección Otros En la evaluación realizada, como experiencia personal pude observar que en un porcentaje del 80% los entrevistados no se encontraban comprometidos con su rol en el proceso a ser auditado.

5 De las veinte entrevistas realizadas, pude registrar al menos una reflexión en el ambito personal del colaborador; los entrevistados no estaban dando la debida importancia al tema de seguridad de la información, incluso no le daban importancia a la auditoría misma, comprometiendola a faltas, tardanzas e incluso cancelaciones. Es decir, con un SGSI implementado hace mas de un año, con una auditoria realizada para evaluar el estado situacional de la empresa, con planes de accion ejecutados y observaciones cerradas, aun la empresa A no estaba conciente sobre lo que significaba tener un sistema de gestion de seguridad de la información y el trabajo que conllevaba mantener el mismo. Con tantas observaciones sobre el tema surge la cuestión: Qué estaba sucediendo?, la respuesta se la obtuvo en la presentación del informe de auditoría, muchos representantes de la alta dirección no asistieron en la exposición realizada. El objetivo despues de cumplir con el requisito seis de la norma era proponer a la empresa A para una evaluación externa y asi alcanzarla certificación internacional ISO 27001:2005. Luego de la evaluación realizada en AI1, la empresa de certificación se presentó para realizar una auditoría externa de primera fase a la empresa A, la espectativa era pasar esta evaluación de en la primera fase pero lastimosamente salieron a la luz estas falencias y la recomendación del auditor externo fue cerrar las mismas observaciones ya determinadas. El hallazgo encontrado por la empresa de certificación fue la no recomendación para la certificación internacional. A. Ejecución de planes de acción Después de estas auditorias, el plan de acción se enfocó en su mayoría en planes de capacitación, sensibilización y concienciación. El método a ser utilizado fue el tradicional: plan de capacitaciónes ejecutadas en semanas programadas a los cuales el personal debía asistir para instruirse sobre temas de seguridad de la informacion; lastimosamente despues de la primera semana de capacitaciones nos dimos cuenta al revisar las actas de asistencias capacitaciones y según la presencia de los colaboradores in situ, que para la realidad como empresa no se estaba utilizando el metodo correcto para concienzar a los colaboradores sobre temas de seguridad, en la semana uno de capacitaciones asistieron 55 colaboradores de los 300 involucrados en este proceso. La empresa A, presta varios servicios y cada vez innova con nuevos productos para sus clientes, demandando a su personal un trabajo constante con resultados inmediatos para satisfacer a sus clientes, encontrandose esta exigencia en todas las áreas de la empresa: sean las técnicas, de sistemas, de servicio al cliente, o las de operación. Al analizar el por qué la falta de asistencia a las capacitaciones se encontró lo sigueinte: 1. Falta de tiempo por parte de los colaboradores: el trabajo bajo presión no les permite ausentarse de su puesto de trabajo por algo tan trivial como una capacitación. 2. Falta de interes sobre el tema de seguridad de la información: el personal por desconocimiento no deseaba saber las nuevas tendencias sobre seguridad de la información; por qué modificar mi forma de cuidar la información si siempre he trabajado así y no ha sucedido nada?. Este tema es delicado por que implica temas como: El perfil del colaborador en cuanto a educación se refiere, Los años de prestación de servicios por temas de fusión de empresas, Colaboradores con resistencia al cambio.

6 3. Falta de colaboración de jefaturas: el trabajo excesivo que se tiene en ciertas áreas de la empresa A, los turnos rotativos, la exigencia de atención 7x24, causa que no todos los colaboradores puedan asistir a las capacitaciones impartidas. Las opciones de las jefaturas fueron: el colaborador que desea puede asistir fuera de los horarios de trabajo o solamente se limitaron a enviar uno o dos representantes del grupo de trabajo. 4. Lugar donde se realiza la capacitación: el lugar que la empresa A destina para las capacitaciones es bastante alejado de los lugares de trabajo de los colaboradores por lo que el traslado y el regreso a las oficinas es dificil, lo que genera que los colaboradores opten por no asistir. 5. Cantidad de horas de capacitación: para muchos asistir a una capacitación de cuatro horas es bastante tedioso y mas aún si es obligatorio. Tras haber realizado este análisis, de manera reactiva y de acuerdo a las situaciones encontradas inmediatamente se comenzó con la difusión de los temas de seguridad de la información explotando los recursos que la empresa posee, para de esta manera intentar cerrar las novedades mencionadas, y se lo hizo asi: 1. Por la falta de tiempo de los colaboradores: Por un medio de difusion masivo que la empresa posee y que llega a nivel nacional, se difundió pequeños tips de seguridad de la información, el medio de difusión utilizado fue el correo electrónico. Cuando se comenzó con la campaña, se enviaban diariamente tips de seguridad de la información en un periodo de aproximadamente dos meses. Actualmente la campaña continua y se encuentra en el calendario de difusion del área encargada de la comunicación en la empresa, ahora la difusión se realiza los martes de cada mes. 2. Falta de interes sobre el tema de seguridad de la información: con las difusiones realizadas por el canal de comunicación interno, se generó interes incluso con los colaboradores mas reacios, el hecho de revisar los tips sobre canales oficiales y masivos, causó que del grupo detectado en un 40% se inclinarán a conocer mas sobre el tema. 3. Falta de colaboración de jefaturas: El hecho de poder recibir tips de información en el mismo lugar de trabajo, sin dejar de realizar las tareas diarias, facilitó a las jefaturas el inconveniente de ausentar recursos y retardar la atención requerida en el área. Para poder reforzar estos temas se comenzó a colocar material en carteleras de las diferentes areas y jefaturas sobre seguridad de la información, su politica y tips adicionales para que el colaborador al ingresar o salir de las instalaciones pueda leer y recordar lo revisado a través del canal de difusión. Tambien se crearon ayudas memoria publicadas en el sistema de gestión documental de la empresa y del cual la alta dirección tenia el deber de difundir entre los colaboradores. 4. Lugar donde se realiza la capacitación: en algunos casos fue necesario formar grupos de capacitacion dirigidos para cada área por periodos determinados, al final se determinó un nuevo sitio oficial para capacitación, el cual se centró en las instalaciones donde se encontraba el mayor número de ausentismos. 5. Cantidad de horas de capacitación: el tiempo de capacitación fue reducido a dos horas realizandose por fases, obviamente se ampliaron las semanas de capacitación y la asistencia de colaboradores fue consideramente alta.

7 Todo este plan de acción tardó en ejecutarse entre cuatro y cinco meses incluyendo todos los temas de gestión interna que se debe realizar en la empresa A para oficializar tanto las difusiones por medios masivos como las capacitaciones realizadas. Para conocer si en verdad surtió efecto la gestión, se realizó una una evaluación de efectividad de la capacitación. Esta revisión volvió a demostrar que aún no se podía cerrar con éxito las observaciones de capacitación, sensibilización y concienciación. Sin embargo, con satisfacción se pudo mostrar que se habian resuelto en un 75% el tema de capacitación, sensibilizacion y competencia al igual que el compromiso de la dirección, pero aun seguia siendo un inconveniente que atentaría a una recomendación de no certificación. Todavía se tenía que buscar formas de concienzar sobre seguridad de la información a los colaboradores de la empresa A. Con el apoyo de la alta dirección y su disposición se procedió a generar una capacitación obligatoria la cual debía ser aprobada por todos los involucrados en el proceso del Sistema de Gestión de Seguridad de la Información en un tiempo determinado. Este curso realizado por el canal interno oficial de capacitaciones que posee la empresa A, tuvo como estrategia enviar un mail personalizado a cada empleado para que ejecute el curso de seguridad de la información de manera obligatoria, la no ejecución de la misma seria sancionada ejecutando el reglamento interno de la empresa A. EVALUACIÓN DE RESULTADOS Para evaluar sobre todo el trabajo realizado en los meses anteriores al cerrar las no confomidades mencionadas, se realizó la segunda auditoria a la empresa A (en adelante AI2) en la primera semana del mes de septiembre, realizando la revision de la misma se encontró: GRÁFICO 2. No conformidades AI2 AUDITORIA AI 2 - No conformidades 55,56% 22,22% 22,22% Capacitación y Sensibilización Compromiso de la Dirección Otros El tema de preocupación sobre Capacitacion, Sensibilizacion y Competencia llegó al 22% de los hallazgos encontrados y en idéntico porcentaje el tema de Compromiso de la Dirección, evidenciando que se ha reducido en mas del 50% las no conformidades encontradas en AI1. Al realizar una comparación gráfica de los resultados obtenidos en la auditoría de AI1 y AI2, se puede ver con mas claridad la diferencia en el cierre de no confomidades con respecto a este tema.

8 La gráfica indica que la incidencia que venía repitiéndose por casi un año fue superada con gran éxito al culminar la auditoria interna AI2 como cumplimiento del requisito número seis de la norma. Si bien en la segunda auditoría se registraron hallazgos con referencia a estos requisitos, fueron en menor grado y tratables para llegar a la auditoría externa a realizarse a inicios del mes de octubre. GRÁFICO 3. Comparación de Resultados entre AI1 y AI2 COMPARACIÓN DE RESULTADOS AI1 - AI2 Auditoría AI1 Auditoria AI2 55,56% 43,48% 22,22% 22,22% 21,74% 34,78% Capacitación y Sensibilización Compromiso de la Dirección Otros Al someterse la empresa A a la auditoría externa para obtener la certificación, corría el riesgo de que estos hallazgos sean encontrados por el auditor de certificación, tema preocupante para la empresa A por lo cual para cerrar estas observaciones la organización tuvo que trabajar arduamente durante tres semanas sobre temas de capacitación y difusión de procedimientos. Por supuesto estas acciones se lograron con el apoyo de la alta dirección ya que los mismos por su importancia debieron ser de cumplimiento obligatorio. La empresa de certificación, en la segunda revisión realizada determinó que la empresa A, tenía un sistema de gestion de seguridad de la información, eficaz y efectivo en la operación y gestión de su SGSI, con compromiso de todos sus colaboradores y la alta dirección; por lo tanto, la certificación internacional fue otorgada. 3. TRABAJOS RELACIONADOS Con respecto a la implementación y revisión de sistemas de seguridad de la información, existe un sin número de trabajos realizados específicamente para cada empresa ó institución que se ha visto en la necesidad de implementar proyectos de esta índole, por consiguiente, en cuanto a información existe mucha, lo importante es tener la habilidad para analizar y distinguir que se puede aplicar de acuerdo a las necesidades del caso de estudio planteado. 4. CONCLUSIONES Y TRABAJOS FUTUROS Al realizar las auditorìas internas, la mayor dificultad que se encontró; fue la falta de colaboración de los empleados, los cuales no actúan mientras no tengan una motivación que en este caso se presentó como una disposición de cumplimiento obligatorio. Es imprescindible, trabajar no solo por el objetivo de mantener un Sistema de Gestión de Seguridad de la Información o por que las disposiciones indican o no una forma de actuar determinada. El trabajo debe reforzarse en concientizar a los colaboradores del significado de crecer como empresa y prestar servicios de calidad en un tiempo oportuno y la seguridad.

9 El conocer el camino que emprende la empresa para posicionarse en el mercado, implica un orden, disciplina, sacrificio, trabajo arduo e incansable, que solo se logra con el compromiso de todos los que forman parte de la organización. El camino a seguir es lograr un cambio de mentalidad o cultura organizacional donde se entienda que sin el esfuerzo propio, el avance y crecimiento tardará aún más, porque con el consentimiento o no de todos, el cambio vendrá. Al aplicar una táctica diferente en la manera de difundir los conceptos clave sobre seguridad de la información y sea una disposición de cumplimiento obligatorio, se generó una clara mejora en los cierres de observaciones sobre el tema de capacitación y compromiso de la concluyendo que los métodos sugeridos sobre aplicaciones de planes de acción deben variar de acuerdo a la naturaleza de la organización, su situación actual, y las exigencias que requiere para mantenerse en el mercado. Cada vez existen más riesgos de seguridad y con impacto mayor, por lo que se debe estar atento a las nuevas tendencias, siendo alternativos con la manera de proceder y responder con prudencia a los sucesos repentinos que puedan dañar los activos. La seguridad de la información de una empresa la hacen todos sus colaboradores, comenzando por la alta dirección, y sus niveles. Es importante que se recuerde que la cadena de la seguridad de la información se rompe por medio del eslabón más débil. Todos podemos crear y trasmitir conciencia, como miembros de un equipo, como parte de una familia, el éxito está en prepararnos, actualizarnos e intentar caminar a la velocidad que lo hace el mundo. 5. REFERENCIAS BIBLIOGRÁFICAS Pabón Molineros, K. P. (Diciembre 2013). Auditoría interna al SGSI de la CNT E.P. para el proceso de venta e instalación de productos y servicios de datos e internet para clientes corporativos en el D.M.Q. Quito, Ecuador.

DISEÑO DE UN SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASADO EN LA NORMA BASC PARA LA EMPRESA TRANSPORTES Y SERVICIOS ASOCIADOS SYTSA CÍA. LTDA.

DISEÑO DE UN SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASADO EN LA NORMA BASC PARA LA EMPRESA TRANSPORTES Y SERVICIOS ASOCIADOS SYTSA CÍA. LTDA. DISEÑO DE UN SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASADO EN LA NORMA BASC PARA LA EMPRESA TRANSPORTES Y SERVICIOS ASOCIADOS SYTSA CÍA. LTDA. Erika Moncayo, Mauricio Campaña, Fernando Solís 1 Universidad

Más detalles

EVALUACIÓN DEL NIVEL DE MADUREZ DE UN SGC BASADO EN LA NORMA ISO 9004:2009; ÁREA DE AUDITORÍA.

EVALUACIÓN DEL NIVEL DE MADUREZ DE UN SGC BASADO EN LA NORMA ISO 9004:2009; ÁREA DE AUDITORÍA. EVALUACIÓN DEL NIVEL DE MADUREZ DE UN SGC BASADO EN LA NORMA ISO 900:2009; ÁREA DE AUDITORÍA. EVALUATION OF MATURITY LEVEL MANAGEMENT SYSTEM BASED ON QUALITY ISO 900:2009; AUDIT AREA. John David Guerrero

Más detalles

LA SEGURIDAD INDUSTRIAL EN NUESTRO PAIS

LA SEGURIDAD INDUSTRIAL EN NUESTRO PAIS LA SEGURIDAD INDUSTRIAL EN NUESTRO PAIS Por Inga. Miriam Patricia Rubio Contreras, mprubio@url.edu.gt RESUMEN En el tema de Seguridad Industrial, existen actualmente diversas tendencias en su implementación

Más detalles

NORMA ISO 14.000: INSTRUMENTO DE GESTIÓN AMBIENTAL PARA EL SIGLO XXI

NORMA ISO 14.000: INSTRUMENTO DE GESTIÓN AMBIENTAL PARA EL SIGLO XXI NORMA ISO 14.000: INSTRUMENTO DE GESTIÓN AMBIENTAL PARA EL SIGLO XXI APLICACIÓN PRACTICA EN UNA EMPRESA DE CURTIEMBRE Autor: Rodrigo Rivera El presente trabajo describe la norma ISO 14000 y su aplicación

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

PROGRAMA DIPLOMADOS BUREAU VERITAS CHILE CAPACITACIÓN CENTRO DE FORMACIÓN Y ENTRENAMIENTO

PROGRAMA DIPLOMADOS BUREAU VERITAS CHILE CAPACITACIÓN CENTRO DE FORMACIÓN Y ENTRENAMIENTO PROGRAMA DIPLOMADOS BUREAU VERITAS CHILE CAPACITACIÓN CENTRO DE FORMACIÓN Y ENTRENAMIENTO 2015 Por qué estudiar en BUREAU VERITAS? Expertos en Sistemas Integrados, Medio Ambiente, Alimentos, Seguridad

Más detalles

ESTUDIO DE LA MADUREZ DE GESTIÓN DE PROYECTOS PARA EL C.E.E.

ESTUDIO DE LA MADUREZ DE GESTIÓN DE PROYECTOS PARA EL C.E.E. ESTUDIO DE LA MADUREZ DE GESTIÓN DE PROYECTOS PARA EL C.E.E. Henry Paúl Dávila Egresado del Programa Administración de la Construcción, de la Universidad de las Fuerzas Armadas ESPE, henrypauldavila@gmail.com.

Más detalles

Crítica constructiva de los Sistemas de Gestión de la Calidad (Según la norma ISO 9001:2000)

Crítica constructiva de los Sistemas de Gestión de la Calidad (Según la norma ISO 9001:2000) Crítica constructiva de los Sistemas de Gestión de la Calidad (Según la norma ISO 9001:2000) El año que inicia nos traerá una nueva versión de la norma ISO 9001, para los Sistemas de Gestión de la Calidad,

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

SGI. ISO 9001:2015 Gestión de la Calidad ISO 14001:2004 OHSAS 18001:2007. Nuestra Estrategia, EL DESARROLLO COMPETITIVO.

SGI. ISO 9001:2015 Gestión de la Calidad ISO 14001:2004 OHSAS 18001:2007. Nuestra Estrategia, EL DESARROLLO COMPETITIVO. Nuestra Estrategia, EL DESARROLLO COMPETITIVO. SGI - Sistema de Gestión de la Calidad INTEGRAR: Fusionar N partes, obteniendo un todo, que incluye partes comunes y partes específicas de cada norma. SGI

Más detalles

GUÍA PARA LA IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN AMBIENTAL PARA LA EMPRESA DE VIGILANCIA SANTAFEREÑA

GUÍA PARA LA IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN AMBIENTAL PARA LA EMPRESA DE VIGILANCIA SANTAFEREÑA GUÍA PARA LA IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN AMBIENTAL PARA LA EMPRESA DE VIGILANCIA SANTAFEREÑA GUIDE FOR THE IMPLEMENTATION OF ENVIRONMENTAL MANAGEMENT SYSTEM FOR VIGILANCIA SANTAFEREÑA ENTERPRISE

Más detalles

ÁREA DE CALIDAD Página 1 de 28 MODELOS DE GESTIÓN DE SISTEMAS DE CALIDAD: ISO 9001:2008

ÁREA DE CALIDAD Página 1 de 28 MODELOS DE GESTIÓN DE SISTEMAS DE CALIDAD: ISO 9001:2008 Página 1 de 28 4.1 Conocimiento de la organización y de su contexto La organización debe determinar las cuestiones externas e internas que son pertinentes para su propósito y que afectan a su capacidad

Más detalles

SISTEMA DE GESTIÓN DE CALIDAD BASADO EN ISO 9001: 2015 EQUIPO TÉCNICO NÚMERO 5

SISTEMA DE GESTIÓN DE CALIDAD BASADO EN ISO 9001: 2015 EQUIPO TÉCNICO NÚMERO 5 SISTEMA DE GESTIÓN DE CALIDAD BASADO EN ISO 9001: 2015 EQUIPO TÉCNICO NÚMERO 5 http://aqaquality.wordpress.com/2011/04/08/conceptos-basicos-de-normalizacion/ http://www.monografias.com/trabajos98/normalizacion-e-iso-9000/normalizacion-e-iso-9000.shtml

Más detalles

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Entendiendo los SGSI De la norma a la obtención de beneficios Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Índice 1. La nueva ISO27001:2013 2. El Proyecto 3. Proceso de Certificación 2 ISO27001

Más detalles

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS UNIDAD DE POSTGRADO DE INGENIERÍA DE SISTEMAS E INFORMATICA

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS UNIDAD DE POSTGRADO DE INGENIERÍA DE SISTEMAS E INFORMATICA UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS UNIDAD DE POSTGRADO DE INGENIERÍA DE SISTEMAS E INFORMATICA DISEÑO E IMPLEMENTACIÓN DE UNA OFICINA DE GESTION DE PROYECTOS PARA LA POSITIVA SEGUROS Informe Profesional

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

LUIS GERARDO RUIZ AGUDELO

LUIS GERARDO RUIZ AGUDELO MANUAL DE NORMAS Y POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA LA CORPORACIÓN UNIVERSITARIA SANTA ROSA DE CABAL UNISARC DE ACUERDO A LAS NORMAS ISO/IEC 27001 LUIS GERARDO RUIZ AGUDELO CORPORACIÓN UNIVERSITARIA

Más detalles

Cómo Asegurar la Calidad de Servicios de TI?

Cómo Asegurar la Calidad de Servicios de TI? Cómo Asegurar la Calidad de Servicios de TI? Martín Ugarteche Crosby Southern Peru Copper Corporation Cuales son los pasos para construir un Sistema de Gestión de Servicios de TI? 1. Voluntad de querer

Más detalles

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu. ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.co Por qué es Importante?? La Gestión de Servicios de Tecnología

Más detalles

ENFOQUE DE PROCESOS PARA APOYAR LA TOMA DE DECISIONES DE UN DEPARTAMENTO DE INGENIERÍA INDUSTRIAL

ENFOQUE DE PROCESOS PARA APOYAR LA TOMA DE DECISIONES DE UN DEPARTAMENTO DE INGENIERÍA INDUSTRIAL ENFOQUE DE PROCESOS PARA APOYAR LA TOMA DE DECISIONES DE UN DEPARTAMENTO DE INGENIERÍA INDUSTRIAL Carlos Torres N. Universidad del Bío-Bío, Facultad de Ingeniería, Departamento de Ingeniería Industrial

Más detalles

El Cuadro de Mando Integral para la implementación y el control estratégico. Experiencias.

El Cuadro de Mando Integral para la implementación y el control estratégico. Experiencias. Ingeniería Mecánica 3(2004) 59-63 59 El Cuadro de Mando Integral para la implementación y el control estratégico. Experiencias. M. E. Albert Díaz, M. Hernández Torres. Instituto Superior Politécnico José

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Gobierno de Seguridad de la Información, un enfoque hacia el cumplimiento regulatorio

Gobierno de Seguridad de la Información, un enfoque hacia el cumplimiento regulatorio Revista Tecnológica ESPOL RTE, Vol. 8, N., 1-17, (Noviembre 015) Gobierno de Seguridad de la Información, un enfoque hacia el cumplimiento regulatorio Paúl Adrián Ochoa Arévalo Facultad de Administración

Más detalles

Qué es la ISO 27001?

Qué es la ISO 27001? Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación

Más detalles

Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013)

Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013) Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013) 1) Qué documentos y registros son necesarios? La siguiente lista detalla la cantidad mínima de documentos y registros requeridos

Más detalles

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.

Más detalles

ISO 27001: El estándar de seguridad de la información

ISO 27001: El estándar de seguridad de la información Índice Introducción Metodología de un SGSI según ISO 27001 Cambios / mejoras en ISO 27001 A.6 Mejoras en las relaciones con terceras partes A.8 Mejoras en el control de las personas A.13 Mejoras en el

Más detalles

Las 5 W + H y el ciclo de mejora en la gestión de procesos

Las 5 W + H y el ciclo de mejora en la gestión de procesos Las 5 W + H y el ciclo de mejora en la gestión de procesos Autores Mónica Trías Patricia González Simone Fajardo Laura Flores Departamento de Coordinación de Calidad Laboratorio Tecnológico del Uruguay

Más detalles

PROPUESTA DE UN PROCEDIMIENTO PARA EL ASEGURAMIENTO DE LA CALIDAD EN LOS PROCESOS PRODUCTIVOS

PROPUESTA DE UN PROCEDIMIENTO PARA EL ASEGURAMIENTO DE LA CALIDAD EN LOS PROCESOS PRODUCTIVOS PROPUESTA DE UN PROCEDIMIENTO PARA EL ASEGURAMIENTO DE LA CALIDAD EN LOS PROCESOS PRODUCTIVOS PROPOSAL OF A PROCEDURE FOR QUALITY ASSURANCE IN PRODUCTION PROCESSES Ing. Yamira Medel Viltres, *, Ing. Ana

Más detalles

LAS FAMILIA DE NORMAS ISO 30300 DE SISTEMAS DE GESTIÓN PARA DOCUMENTOS

LAS FAMILIA DE NORMAS ISO 30300 DE SISTEMAS DE GESTIÓN PARA DOCUMENTOS LAS FAMILIA DE NORMAS ISO 30300 DE SISTEMAS DE GESTIÓN PARA DOCUMENTOS RAMON ALBERCH i FUGUERAS MIEMBRO DEL COMITÉ TÉCNICO DE NORMALIZACIÓN DE AENOR (CTN50/SC1) DIRECTOR GENERAL DE LA ESCUELA SUPERIOR

Más detalles

AUDITAJE A PROCESOS DE RECOLECCION, VALIDACIÓN Y MINERÍA DE DATOS SOCIALES.

AUDITAJE A PROCESOS DE RECOLECCION, VALIDACIÓN Y MINERÍA DE DATOS SOCIALES. AUDITAJE A PROCESOS DE RECOLECCION, VALIDACIÓN Y MINERÍA DE DATOS SOCIALES. Compilación CEO Abstract In the applied social research a series of technical processes is developed to provide the researchers

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

Los Sistemas Integrados de Gestión: Gestión de la Calidad Total, Gestión Medio Ambiental y Gestión de la Prevención.

Los Sistemas Integrados de Gestión: Gestión de la Calidad Total, Gestión Medio Ambiental y Gestión de la Prevención. PROCEDIMIENTOS BASADOS EN LAS NORMAS OSHAS 18000 PARA SU IMPLANTACION EN PYMES DEL SUBSECTOR FABRICACIÓN DE PRODUCTOS METÁLICOS. Los Sistemas Integrados de Gestión: Gestión de la Calidad Total, Gestión

Más detalles

El Centro para la Investigación en Recursos

El Centro para la Investigación en Recursos Implementación de un Sistema de Gestión de la Calidad en los Laboratorios del CIRA/UNAN Iris Hurtado García. Centro para la Investigación en Recursos Acuáticos de Nicaragua, Universidad Nacional Autónoma

Más detalles

TITULO SERVICIOS DE CONSULTORIA INTEGRAL (RECURSOS HUMANOS, MARKETING Y TECNOLOGIA) A PEQUEÑAS Y MEDIANAS EMPRESAS VÍA INTERNET PARA S.C.I. CIA.

TITULO SERVICIOS DE CONSULTORIA INTEGRAL (RECURSOS HUMANOS, MARKETING Y TECNOLOGIA) A PEQUEÑAS Y MEDIANAS EMPRESAS VÍA INTERNET PARA S.C.I. CIA. TITULO SERVICIOS DE CONSULTORIA INTEGRAL (RECURSOS HUMANOS, MARKETING Y TECNOLOGIA) A PEQUEÑAS Y MEDIANAS EMPRESAS VÍA INTERNET PARA S.C.I. CIA. Ltda AUTORES Yandres García Charcopa 1 Nadia Luna Eras 2

Más detalles

PROPUESTA DE CERTIFICACION

PROPUESTA DE CERTIFICACION PROPUESTA DE CERTIFICACION Ofrecemos asesorías para cualquier tipo de empresa en cuanto al diseño, implementación, certificación, mantenimiento y mejoramiento del Sistema de Gestión de Calidad (ISO 9001:2008),

Más detalles

Diseño e Implementación de los Procesos de Gestión TI

Diseño e Implementación de los Procesos de Gestión TI Diseño e Implementación de los Procesos de Gestión TI Alumno(s): Año Académico: 2012 Profesor Guía: Contraparte: ALEJANDRO JESUS ARAVENA ORTIZ LORENA ANDREA ALBORNOZ POBLETE DANIEL HORMAZABAL Escuela de

Más detalles

Solicitada a Solicitada por Fechas Nombre Cargo Nombre Cargo De solicitud De entrega

Solicitada a Solicitada por Fechas Nombre Cargo Nombre Cargo De solicitud De entrega Contenido 1. Presentación de la empresa 2. Objetivo de la auditoria Verificación de Control sobre el proceso de TI Definición de la organización y de las relaciones de TI que satisface los requerimientos

Más detalles

EVALUACION DE ATENCION EN SALUD, DISEÑO Y DOCUMENTACION DE PROCESOS DE LA UNIDAD DE TERAPIA INTENSIVA DEL HOSPITAL GENERAL ENRIQUE GARCES.

EVALUACION DE ATENCION EN SALUD, DISEÑO Y DOCUMENTACION DE PROCESOS DE LA UNIDAD DE TERAPIA INTENSIVA DEL HOSPITAL GENERAL ENRIQUE GARCES. EVALUACION DE ATENCION EN SALUD, DISEÑO Y DOCUMENTACION DE PROCESOS DE LA UNIDAD DE TERAPIA INTENSIVA DEL HOSPITAL GENERAL ENRIQUE GARCES. Andrade Cecilia, Miranda José Departamento de Ciencias Económicas,

Más detalles

Guía práctica para implementar un Sistema de Gestión en su empresa

Guía práctica para implementar un Sistema de Gestión en su empresa Guía práctica para implementar un Sistema de Gestión en su empresa 23 DE SEPTIEMBRE DE 2013 ING. ROCÍO GUTIÉRREZ DÁVILA Qué es un Sistema de Gestión? 3.2.1 sistema conjunto de elementos mutuamente relacionados

Más detalles

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN SUMILLAS 1 CICLO I Gestión de Servicios de Tecnologías de Información Estudio de los servicios de

Más detalles

DIAGNÓSTICO, DOCUMENTACION E IMPLEMENTACIÒN DEL SISTEMA DE GESTION DE CALIDAD DE LA EMPRESA DINAMIK PUBLICIDAD S.AS. BASADO EN LA NORMA ISO 9001:2008

DIAGNÓSTICO, DOCUMENTACION E IMPLEMENTACIÒN DEL SISTEMA DE GESTION DE CALIDAD DE LA EMPRESA DINAMIK PUBLICIDAD S.AS. BASADO EN LA NORMA ISO 9001:2008 DIAGNÓSTICO, DOCUMENTACION E IMPLEMENTACIÒN DEL SISTEMA DE GESTION DE CALIDAD DE LA EMPRESA DINAMIK PUBLICIDAD S.AS. BASADO EN LA NORMA ISO 9001:2008 DIAGNOSIS, DOCUMENTATION AND IMPLEMENTATION OF QUALITY

Más detalles

El interés por la calidad en productos y servicios ya no es una opción

El interés por la calidad en productos y servicios ya no es una opción ADMINISTRACIÓN Daniel Moreno Jiménez Guía para implementar ISO 9001! El interés por la calidad en productos y servicios ya no es una opción porque los consumidores cada vez más exigen que lo que reciben

Más detalles

Gerencia informática. Tema: Mejora continua del servicio. Autor: Osvaldo Puello Flórez

Gerencia informática. Tema: Mejora continua del servicio. Autor: Osvaldo Puello Flórez Gerencia informática Tema: Mejora continua del servicio Autor: Osvaldo Puello Flórez Propósito de la Mejora Continua El éxito de la mejora continua del servicio depende de cómo se identifique y utilicen

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

MANUAL DE CALIDAD ISO 9001:2008

MANUAL DE CALIDAD ISO 9001:2008 Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO

Más detalles

ETAPAS DE LA IMPLEMENTACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN

ETAPAS DE LA IMPLEMENTACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN ETAPAS DE LA IMPLEMENTACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN Fase I: Evaluación Preliminar La Evaluación Preliminar permite realizar una identificación adecuada de cómo se encuentra la organización en

Más detalles

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Elaboración de un plan de implementación de la Norma ISO/IEC 27001:2013 en una empresa prestadora de servicios de acueducto

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

1.1. Sistema de Gestión de la Calidad

1.1. Sistema de Gestión de la Calidad 1.1. Sistema de Gestión de la Calidad ÁREA: GESTIÓN DE LA CALIDAD SISTEMA: GESTIÓN DE LA CALIDAD ETAPA I - OBJETIVOS REQUISITOS TÉCNICOS 2012 1. La institución realiza un diagnóstico del estado actual

Más detalles

Auditoría que agrega valor

Auditoría que agrega valor International Organization for Standardization International Accreditation Forum Auditoría que agrega valor Que es una auditoría que agrega valor? Escuchamos mucho a cerca de la importancia de agregar

Más detalles

Recordamos sobre la acreditación de la calidad

Recordamos sobre la acreditación de la calidad Recordamos sobre la acreditación de la calidad El proceso de acreditación de la calidad educativa en el ámbito universitario es voluntario. Los criterios y estándares que se determinan tienen como objetivo

Más detalles

E.S.E. HOSPITAL SANTA MATILDE Madrid- Cundinamarca Nit. 860.009.555-7

E.S.E. HOSPITAL SANTA MATILDE Madrid- Cundinamarca Nit. 860.009.555-7 E.S.E HOSPITAL SANTA MATILDE DE MADRID CUNDINAMARCA INFORME PERMONERIZADO CUATRISMESTRAL DE CONTROL INTERNO PERIODO DE EVALUACION: MAYO DE 2013-AGOSTO DE 2013 De acuerdo al estatuto anticorrupción ley

Más detalles

INFORME DE AUDITORIA ETAPA 2 DE SISTEMAS DE GESTIÓN

INFORME DE AUDITORIA ETAPA 2 DE SISTEMAS DE GESTIÓN 1. INFORMACIÓN GENERAL ORGANIZACIÓN SUMINISTRAMOS SERVICIOS Y CONSULTORÍA SUMISERVIS LTDA. SITIO WEB: LOCALIZACIÓN: Calle 37 No. 17-21 Bogotá, D.C. - Colombia Dirección del sitio permanente diferente al

Más detalles

RECOMENDACIONES PARA EL RECIBO DE LA AUDITORÍA

RECOMENDACIONES PARA EL RECIBO DE LA AUDITORÍA RECOMENDACIONES PARA EL RECIBO DE LA AUDITORÍA Qué busca el auditor CONTENIDO Cómo prepararme para la auditoría Certificación del sistema de gestión Proceso de análisis de documentos para preparación de

Más detalles

Los cambios del borrador ISO 14001:2015

Los cambios del borrador ISO 14001:2015 Los cambios del borrador ISO 14001:2015 Se incluye a continuación un avance del contenido, en fase de discusión como anteriormente se ha comentado, de los apartados que va a incluir la nueva versión de

Más detalles

ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios

ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios Judit Laguardia jlaguardia@orcilatam.com ORCI Latam Agenda Introducción a la Gestión de Servicios (ITIL ) ISO/IEC 20000: Qué es y por qué se

Más detalles

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO OFICINA ASESORA DE PLANEACIÓN, Junio 2013 Elaborado por : Carlos Fernando Campos Sosa CONTENIDO QUÉ ES EL SISTEMA INTEGRADO DE GESTIÓN?... 1 POR QUÉ ES ÚTIL EL SIG?... 3 CÓMO CONTRIBUIMOS A IMPLEMENTAR

Más detalles

Actualización NCh ISO 9001:2015 Cambios y desafíos a enfrentar. Relator José M. Mantilla Suárez

Actualización NCh ISO 9001:2015 Cambios y desafíos a enfrentar. Relator José M. Mantilla Suárez Actualización NCh ISO 9001:2015 Cambios y desafíos a enfrentar. Relator José M. Mantilla Suárez NCh ISO 9001:2015. Cambios clave. Estructura de Alto Nivel de 10 cláusulas y texto clave idéntico para todas

Más detalles

DESCRIPCIÓN DE CURSOS PROPEDÉUTICO

DESCRIPCIÓN DE CURSOS PROPEDÉUTICO DESCRIPCIÓN DE CURSOS PROPEDÉUTICO Matemáticas para Administración En este curso se abordan tópicos de matemáticas útiles para el entendimiento y correcta aplicación de las ciencias de la administración.

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

Desarrollo Organizacional

Desarrollo Organizacional Desarrollo Organizacional Introducción El Desarrollo Organizacional (DO) es el medio más frecuentemente utilizado por las organizaciones que buscan la mejora continua dentro de un entorno globalizado,

Más detalles

METODOLOGÍA PARA EL ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE PROCESOS CON TECNOLOGÍA BPM (BUSINESS PROCESS MANAGEMENT)

METODOLOGÍA PARA EL ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE PROCESOS CON TECNOLOGÍA BPM (BUSINESS PROCESS MANAGEMENT) METODOLOGÍA PARA EL ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE PROCESOS CON TECNOLOGÍA BPM (BUSINESS PROCESS MANAGEMENT) José Villasís Reyes 1, Tatiana Gualotuña 2, Cecilia Hinojosa 3 1 Escuela Politécnica del

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

OHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo

OHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras

Más detalles

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas 9 El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas LEZAMA- Valeria Universidad Iberoamericana. Recibido 21 de Enero, 2014; Aceptado

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

Portafolio de Servicios Estratégicos Organizacionales

Portafolio de Servicios Estratégicos Organizacionales Portafolio de Servicios Estratégicos Organizacionales Consultores en Gestión n Organizacional TI Cel.. 310 862 8720 Tel.. 613 5762 pedro_gomez@tutopia.com pgomez_3 _3@ean.edu.co Bogotá - Colombia OBJETIVO

Más detalles

13. EL LEAD TIME EN EL DESARROLLO DE PRODUCTOS SOFTWARE

13. EL LEAD TIME EN EL DESARROLLO DE PRODUCTOS SOFTWARE 13. EL LEAD TIME EN EL DESARROLLO DE PRODUCTOS SOFTWARE Jaime Alberto Sánchez Velásquez Ana Lucía Pérez * RESUMEN En los últimos años, el aumento de las compañías desarrolladoras de software en Colombia

Más detalles

AUDITORÍAS POR PROCESOS MP-22I-V1

AUDITORÍAS POR PROCESOS MP-22I-V1 AUDITORÍAS POR PROCESOS ISO 9000:2000 AUDITORÍAS POR PROCESOS Normas Aplicadas NTC ISO 190011 Duración 8 horas Objetivos Actualizar auditores en la metodología de planeación, ejecución verificación y control

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

Boletín de Consultoría Agregando Valor en la Gestión de Proyectos

Boletín de Consultoría Agregando Valor en la Gestión de Proyectos www.pwc.com/ve 4 Inicio Boletín Digital No. 6-2012 - No. 6-2012 Haga click en los enlaces para navegar a través del documento 4Introducción 4 Qué es una? 4Triángulo de valor de una Oficina de Gestión de

Más detalles

REQUISITOS TÉCNICOS Y MEDIOS DE VERIFICACIÓN PROGRAMA MARCO AVANZADO

REQUISITOS TÉCNICOS Y MEDIOS DE VERIFICACIÓN PROGRAMA MARCO AVANZADO GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos *** REQUISITOS TÉCNICOS Y MEDIOS DE VERIFICACIÓN PROGRAMA MARCO AVANZADO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN AÑO 2009 Marzo de 2009

Más detalles

Información y Conocimiento para la Toma de Decisiones: Vigilancia Tecnológica e Inteligencia Competitiva

Información y Conocimiento para la Toma de Decisiones: Vigilancia Tecnológica e Inteligencia Competitiva Información y Conocimiento para la Toma de Decisiones: Vigilancia Tecnológica e Inteligencia Competitiva Acerca de nosotros 12 años especialización en la práctica de riesgos y seguridad Ganadores del Premio

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

Modelo de Arquitectura de Seguridad de la Información (MASI)

Modelo de Arquitectura de Seguridad de la Información (MASI) Modelo de Arquitectura de Seguridad de la Información (MASI) Angélica Flórez Abril, MSc. Universidad Pontificia Bolivariana Bucaramanga, Colombia Octubre, 2010 Introducción Contenido IT Governance, Risk

Más detalles

El GobiernoTI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas

El GobiernoTI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas El GobiernoTI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas 29 Valeria Lezama Véjar V. Lezama Véjar Universidad Iberoamericana M. Ramos, P. Solares,

Más detalles

Global Business Services. Sarbanes-Oxley (SOx), Sec 404 y su impacto en TI

Global Business Services. Sarbanes-Oxley (SOx), Sec 404 y su impacto en TI Sarbanes-Oxley (SOx), Sec 404 y su impacto en TI Agenda Por qué surgió SOx Sección 404 Cúal es el impacto en TI Proceso de certificación SOx desde el punto de vista de TI - Lecciones aprendidas 2 Por qué

Más detalles

DISEÑO DE MODELO DE SISTEMA DE GESTIÓN AMBIENTAL APLICANDO LA NORMA TÉCNICA COLOMBIANA ISO 14001 EN LA EMPRESA CAMISERÍA INGLESA S.A.S.

DISEÑO DE MODELO DE SISTEMA DE GESTIÓN AMBIENTAL APLICANDO LA NORMA TÉCNICA COLOMBIANA ISO 14001 EN LA EMPRESA CAMISERÍA INGLESA S.A.S. DISEÑO DE MODELO DE SISTEMA DE GESTIÓN AMBIENTAL APLICANDO LA NORMA TÉCNICA COLOMBIANA ISO 14001 EN LA EMPRESA CAMISERÍA INGLESA S.A.S. DESIGN MODEL OF ENVIRONMENTAL MANAGEMENT SYSTEM APPLYING THE COLOMBIAN

Más detalles

I N F O R M E PLAN TRIENAL PARA LA PREPARACIÓN DE LA CERTIFICACIÓN SENAME

I N F O R M E PLAN TRIENAL PARA LA PREPARACIÓN DE LA CERTIFICACIÓN SENAME I N F O R M E PLAN TRIENAL PARA LA PREPARACIÓN DE LA CERTIFICACIÓN SENAME DICIEMBRE, 2011 CONTENIDOS 1. PRESENTACIÓN... 3 2. OBJETIVOS DE LA ETAPA... 4 3. METODOLOGÍA... 5 3.1 ETAPAS DE LA METODOLOGÍA

Más detalles

MODELO INTEGRADO PARA LA MEJORA CONTINUA DE LA GESTIÓN INSTITUCIONAL

MODELO INTEGRADO PARA LA MEJORA CONTINUA DE LA GESTIÓN INSTITUCIONAL MODELO INTEGRADO PARA LA MEJORA CONTINUA DE LA GESTIÓN INSTITUCIONAL 1 Busquemos identidad de objetivos con nuestros trabajadores, contratistas, directivos y propietarios de las empresas 2 SITIOS DE INTERÉS

Más detalles

INTRODUCCIÓN. El presente proyecto se ha elaborado como propuesta apara el Programa de Gestión de Calidad SISO 9000:2000

INTRODUCCIÓN. El presente proyecto se ha elaborado como propuesta apara el Programa de Gestión de Calidad SISO 9000:2000 INTRODUCCIÓN El presente proyecto se ha elaborado como propuesta apara el Programa de Gestión de Calidad SISO 9000:2000 Este documento muestra los objetivos del proyecto, la metodología de trabajo para

Más detalles

Una experiencia de Éxito en la Gestión de Calidad

Una experiencia de Éxito en la Gestión de Calidad Una experiencia de Éxito en la Gestión de Calidad Según Normas ISO 9001:2008 Noviembre 2011 Ce.S.P.I El Centro Superior para el Procesamiento de la Información es el centro de cómputos de la Universidad

Más detalles

Nuevas Normas ISO. Buenos Aires, 6 de Octubre 2015

Nuevas Normas ISO. Buenos Aires, 6 de Octubre 2015 Nuevas Normas ISO Buenos Aires, 6 de Octubre 2015 Estado Actual ISO 14001:2015 ISO 9001:2015 2 Objetivo Presentar el Anexo SL Presentar la ISO 9001:2015 Presentar la ISO 14001:2015 Analizar posibles impactos

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

Manuel Ballester, CISA, CISM

Manuel Ballester, CISA, CISM Conferencia Latin America CACS 2007 #333 Lecciones aprendidas sobre la certificación en el estándar ISO 27001 y su relación con Cobit. Preparada por Manuel Ballester, CISA, CISM Reflexión Inicial Cuanto

Más detalles

C/CAR/DCA/13 NI/36 2. 2. Antecedentes

C/CAR/DCA/13 NI/36 2. 2. Antecedentes Organización de Aviación Civil Internacional 27/05/13 Oficina para Norteamérica, Centroamérica y Caribe (NACC) Décimo Tercera Reunión de Directores de Aviación Civil del Caribe Central (C/CAR/DCA/13) La

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

RESUMEN EJECUTIVO INTRODUCCIÓN CAPITULO I GENERALIDADES DE LA INVESTIGACIÓN

RESUMEN EJECUTIVO INTRODUCCIÓN CAPITULO I GENERALIDADES DE LA INVESTIGACIÓN RESUMEN EJECUTIVO INDICE PÁG. i INTRODUCCIÓN iv CAPITULO I GENERALIDADES DE LA INVESTIGACIÓN 1. PLANTEAMIENTO DEL PROBLEMA 1 1.1 DESCRIPCIÓN DE LA PROBLEMÁTICA 1 1.2 FORMULACIÓN DEL PROBLEMA 2 1.3 OBJETIVOS

Más detalles

NOMBRE DEL AUTOR Denisse Cristina Herrera García, Tecnóloga en Relaciones Públicas, Pablo Oleas

NOMBRE DEL AUTOR Denisse Cristina Herrera García, Tecnóloga en Relaciones Públicas, Pablo Oleas UNIVERSIDAD SAN FRANCISCO DE QUITO COLEGIO TECNOLOGÍAS TÍTULO: AUDITORÍA DE COMUNICACIÓN INTERNA NOMBRE DEL AUTOR Denisse Cristina Herrera García, Tecnóloga en Relaciones Públicas, Pablo Oleas Trabajo

Más detalles

ISO 9001 TRANSICIÓN A LA NUEVA VERSIÓN 2015. Autores: Ing. Roberto Lemo Ing. Hugo González Directores de Calidad & Gestión

ISO 9001 TRANSICIÓN A LA NUEVA VERSIÓN 2015. Autores: Ing. Roberto Lemo Ing. Hugo González Directores de Calidad & Gestión Calidad & Gestión TRANSICIÓN A LA NUEVA VERSIÓN ISO 9001:2015 Pág. 1 de 11 TRANSICIÓN A LA NUEVA VERSIÓN 2015 ISO 9001 Autores: 2014 Ing. Roberto Lemo Ing. Hugo González Directores de Calidad & Gestión

Más detalles